Punkt 9.1 normy ISO/IEC 27001 wymaga od organizacji oceny działania SZBI i rozważenia skuteczności systemu zarządzania bezpieczeństwem informacji.
Co obejmuje punkt 9.1?
Jeśli organizacja ubiega się o certyfikację na zgodność z normą ISO/IEC 27001, niezależny audytor, pracujący dla jednostki certyfikujące przyjrzy się dokładnie następującym obszarom:
- co firma zdecydowała się monitorować i mierzyć, nie tylko cele, ale także procesy i kontrole
- w jaki sposób zapewni prawidłowe wyniki pomiarów, monitorowania, analizy i oceny
- kiedy te pomiary, monitorowanie, ocena i analiza mają miejsce i kto je przeprowadza
- w jaki sposób będą wykorzystywane wyniki.
Podobnie jak w przypadku wszystkich innych międzynarodowych norm ISO/IEC, w tym ISO/IEC 27001, udokumentowane informacje są wszystkim – więc opisanie ich, a następnie udowodnienie, że tak się dzieje, jest kluczem do sukcesu!
Jak spełnić wymagania punkt 9.1
Podobnie jak w przypadku dużej części punktu 8 dotyczącej działania systemu zarządzania bezpieczeństwem informacji, punkt 9.1 jest adresowany poprzez spojrzenie na cały SZBI i inne części, które przyczyniają się do spełnienia tego wymogu.
Punkt 9.1 wymaga oceny wydajności i skuteczności systemu zarządzania. Norma wspomina również o dwóch metodach gromadzenia odpowiednich danych:
– Monitorowanie: określanie statusu systemu, procesu lub działania w celu spełnienia określonej potrzeby.
– Pomiar: działanie podejmowane w celu określenia wartości, statusu lub trendu w zakresie wydajności lub skuteczności, aby pomóc w identyfikacji potencjalnych potrzeb w zakresie doskonalenia.
Powyższe definicje monitorowania i pomiaru pochodzą z dokumentu ISO/IEC 27004 [5]. Dokument ten zawiera dodatkowe informacje na temat monitorowania, pomiaru, analizy i oceny systemu zarządzania bezpieczeństwem informacji.